Proteggere le tue applicazioni web da Log4Shell

Siamo sicuri che tu abbia già sentito nominare il Log4Shell, ma vogliamo assicurarci di condividere con te le giuste informazioni, insegnandoti a proteggere le tue applicazioni web-based da pericoli di questo tipo.

Le applicazioni web sono una componente fondamentale dei processi aziendali ma tuttavia costituiscono un punto debole soggetto ad attacchi informatici di qualsiasi genere. Negli ultimi tempi, infatti, abbiamo assistito ad un incremento graduale dei tentativi di attacco Log4Shell. Una minaccia che ha destato grande scompiglio nella community informatica di tutto il mondo, sin dal giorno della sua scoperta.

Log4Shell è infatti la vulnerabilità più rilevante e impattante scoperta nell’ultimo anno e mezzo, sviluppatasi da Log4j, un framework per logging diffuso e utilizzato tantissimo online.

Cos’è Log4shell

Log4Shell è una vulnerabilità del software in Apache Log4j 2, una popolare libreria Java impiegata per la registrazione di messaggi di errore nelle applicazioni web-based. La vulnerabilità, pubblicata come CVE-2021-44228, consente ad un utente malintenzionato di assumere il controllo di un dispositivo da remoto se questo esegue alcune versioni di Log4J 2.

Apache ha emesso una patch per CVE-2021-44228, ma questa ha lasciato parte della vulnerabilità scoperta, con la conseguente pubblicazione di una seconda patch. Apache ha successivamente rilasciato anche una terza patch, per correggere un’altra vulnerabilità correlata, CVE-2021-45105.

In ultimo, Apache rilascia una quarta patch, per affrontare l’ennesima vulnerabilità, CVE-2021-44832.

Gli aggressori possono sfruttare tutte queste vulnerabilità usando i messaggi di testo per controllare un computer in remoto.

Apache Software Foundation, che pubblica la libreria di Log4j 2, ha dato alla vulnerabilità un punteggio CVSS (Common Vulnerability Scoring System) di 10 su 10, un punteggio di gravità di massimo livello, a causa del suo potenziale e della facilità con cui i cybercriminali possono sfruttarla.

Log4Shell e Log4j 2

Log4Shell è considerata una vulnerabilità zero-day perché i malintenzionati probabilmente la conoscevano e la sfruttavano prima che gli esperti ne venissero a conoscenza.

Ciò che rende la vulnerabilità di Log4j tanto pericolosa è la diffusione della libreria Log4j 2.
La libreria infatti, è presente nelle principali piattaforme web-based come Amazon. Questo significa che trattandosi di una vulnerabilità critica, sin dalla sua scoperta si è reso necessario installare urgentemente una patch di sicurezza; un procedimento, delicato complesso e che richiede tempo di manutenzione alle applicazioni.

In particolare, la gravità della vulnerabilità viene determinata anche grazie dalla facilità con la quale è possibile sfruttarla da parte degli utenti malintenzionati per condurre attacchi mirati.

L’oggetto dell’attacco è proprio la libreria Log4J 2 , una componente in grado di controllare il modo in cui le applicazioni registrano stringhe di codice e informazioni.

Quest’ultima consente ad un utente malintenzionato di ottenere il controllo su una stringa e indurre l’applicazione ad eseguire il codice dannoso.
Di conseguenza, gli aggressori possono controllare a distanza qualsiasi dispositivo connesso a Internet che utilizza determinate versioni della libreria Log4J.

Ma cos’è Log4J 2?

Log4j 2, di che cosa si tratta?

Le aziende di tutto il mondo hanno integrato Apache Log4j 2 in una miriade di applicazioni: esso è infatti il framework di logging più utilizzato su Internet.

Log4j 2 registra i messaggi dal software ed in seguito cerca errori.
La quantità di dati è ampia e va da quelle del browser ai dettagli tecnici sul sistema in cui è presente Log4J 2. Non solo la libreria Log4j 2 può creare semplici registri, ma può anche eseguire comandi per generare informazioni di logging avanzate.

Come funziona Log4shell

Poiché la libreria Log4j 2 può comunicare con altre fonti e servizi di directory interna, gli aggressori possono facilmente inserire in Log4j 2 comandi malevoli dall’esterno e far scaricare ed eseguire codici pericolosi.

Il modo in cui gli aggressori possono sfruttare Log4j 2 dipende dalle specifiche tecniche del sistema interessato.
Finora, la stragrande maggioranza delle attività consisteva nella scansione di massa verso i sistemi vulnerabili.

Gli aggressori hanno sfruttato le vulnerabilità per installare ed eseguire ransomware, rubare le credenziali di sistema, assumere un controllo delle reti compromesse ed esportare dati.

Le possibilità di attività dannose sembrano tantissime. I cybercriminali possono eseguire qualsiasi codice sul sistema attaccato, ad esempio, per accedere ad informazioni di configurazione. Nel catturare questi dati, gli aggressori potrebbero ottenere il pieno controllo di un sistema e di tutti i suoi dati e applicazioni.

Come difendere le applicazioni web-based

Molte aziende utilizzano la libreria Log4J 2 in numerose applicazioni e infrastrutture, anche attraverso tool di terze parti.
Ugualmente, nel settore dei consumatori molti dispositivi intelligenti e connessi alla rete (IoT) utilizzano la stessa libreria.

Per evitare di doversi interfacciare con l’azione dei cyber criminali, gli utenti dovrebbero disconnettere tutti i dispositivi IoT da Internet fino a quando i produttori non siano in grado di rendere disponibili gli aggiornamenti di sicurezza opportuni.

In azienda invece, laddove ci fossero applicazioni web-based vulnerabili è opportuno installare patch fornite dai produttori dei software e nel contempo, effettuare un check-up di sicurezza del software.

Poiché Log4Shell colpisce così tanti sistemi ed è così facile da sfruttare, le aziende devono agire rapidamente per proteggere i loro sistemi. Necessitano di una o più soluzioni di sicurezza che possano identificare immediatamente e automaticamente i sistemi vulnerabili e aiutarle a dare la priorità a quelli più critici da aggiornare per primi.

Suggerimenti per mettere in sicurezza le web app da Log4Shell

Siamo felici di fornirti qualche suggerimento che puoi seguire subito:

  • Aggiornare all’ultima versione LOG4J

    la cosa più rapida e attualmente più efficace da fare è quella di aggiornare tutte le istanze di Log4j all’ultima versione. Anche le aziende che non utilizzano Apache dovrebbero considerare la possibilità di una violazione dei dati perché l’impatto di questa vulnerabilità zero-day influisce sull’intera superficie di attacco;

  • Modificare le proprietà del sistema Java

    se l’aggiornamento alla versione più recente di Log4j non è possibile, i team di sicurezza dovrebbero impostare le seguenti proprietà del sistema su True: log4j22.FormatMSgnoLookups o Log4j_format_msg_no_lookups.

  • Disabilitare JNDI

    JNDI (Java Naming and Directory Interface) facilita l’esecuzione del codice in base ai dati trovati nel registro, dati che possono essere facilmente manipolati. Disabilitando la classe JNDilookup, il logger non sarà in grado di agire in base ai dati trovati nel registro.

  • Richiedere informazioni su Log4shell

    richiedi informazioni sulle vulnerabilità log4shell alle aziende di cui utilizzi software o servizi;

  • Aggiornare tutti i firewall

    aggiorna tutti i firewall ed i sistemi di prevenzione delle intrusioni con le ultime patch.

  • Implementare l’autenticazione a più fattori

    pratiche come l’autenticazione a più fattori e la VPN potrebbero impedire la violazione dei dati se un utente malintenzionato riesce a raggiungere l’accesso alla rete attraverso la vulnerabilità Apache Log4J.

Per ulteriori raccomandazioni per le misure di protezione rispetto a questa minaccia zero-day, non esitare a contattarci.

Conclusioni

Poiché gli ambienti cloud e applicazioni sono diventati sempre più complessi, identificare le vulnerabilità e gli attacchi è diventato sempre più difficile. Quando la vulnerabilità zero-day Log4Shell è stata identificata per la prima volta, i team di sicurezza hanno dovuto lavorare molto duramente, spesso trascorrendo giorni a chiedersi in che misura sono stati esposti a Log4Shell.

Per questo oggi esistono dei consulenti specializzati capaci di riconoscere le vulnerabilità e porvi rimedio.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.